Tentative de piratage...

[zeb]

Sauf si l'include via le GET est "securisé". Pour mon site, j'appelle des fichiers en inculde via un GET, mais ma commande est du genre
include ("partie_fixe_$ma_variable").
Tu auras beau tenter d'inclure un fichier distant via le GET le serveur ne trouvera jamais le fichier

P.S :
Ou alors s'il y a malgré tout une faille, donnez la moi que je sécurise de suite.

Bonne option, mais je me suis toujours demandé s'il n'y avais pas moyen de faire sauter la partie fixe avec des caractères spéciaux au niveau de la mémoire (genre backslash)

Pas moyen de tester chez moi non plus ...

sinon je me souviens d'il y pas si longtemps (j'étudiais justement cette faille) ou tu trouvais facilement un serveur sensible avec GG

[Djoule_logo]

Sauf si l'include via le GET est "securisé". Pour mon site, j'appelle des fichiers en inculde via un GET, mais ma commande est du genre
include ("partie_fixe_$ma_variable").
Tu auras beau tenter d'inclure un fichier distant via le GET le serveur ne trouvera jamais le fichier

P.S :
Ou alors s'il y a malgré tout une faille, donnez la moi que je sécurise de suite.

Ah oui et si il y a un brute force pour trouver ta partie fixe tu es eu, il te faut faire une condition avec filexist

Exemple :

Code: Tout sélectionner

if(isset($_GET['ma_variable']) AND file_exists("partie_fixe_$ma_variable")


je pense pas qu'on puisse faire quoique ce soit même en connaissant la partie fixe, mais je vais appliquer le principe de précaution et le file_exist

[Serious]

Ce n'est pas encore suffisant meme si ca rend les choses legerement plus difficiles. Tu as essaye avec ':x@crack.com/' ? Je ne pense pas.
Il est tres difficile de securiser un include distant. Et meme si tu y arrives, ca n'enlevera pas le fait que la securite de ton serveur depend de celle du serveur distant.